Sikkerhedsvurdering

Organisering af informationssikkerhed

Det er kun ledelsen, der har adgang til den fulde database i IT-systemerne. Ledelsen består af to personer. Herudover har udviklingsteamet adgang til IT-systemerne i det omfang, der er nødvendigt for videreudvikling og vedligeholdelse. Det er udelukkende ledelsen, der har adgang til at tildele loginrettigheder og kan til enhver tid frakoble disse afgangsrettigheder.

Beskyttelse af systemer og data

Der foretages screening af adgang til IT-systemerne. Personer tildeles kun adgang til de oplysninger, der er nødvendige for at de kan udføre deres arbejde. Der foretages en årlig revision og risikovurdering ved bestyrelsens generalforsamling. Her foretages der en risikobaseret vurdering i forhold til beskyttelse af data, herunder vurdering af hvorvidt systemovervågning fortsat er tilstrækkelig.

Mobilt udstyr og hjemmearbejdspladser

HereTask har nedskrevne politikker for brug af mobilt udstyr og fjernarbejdspladser. Medarbejdere og leverandører tildeles alene fjernadgang til IT-systemerne, hvilken adgang logges; der gives ikke adgang til lokal opbevaring af persondata fra IT-systemerne.

Personalesikkerhed

Der indhentes straffeattest ved ansættelse af medarbejdere. Straffeattesten indhentes herefter årligt. Efter ansættelse gennemgår medarbejderne undervisning i forhold til IT sikkerhed og der foretages årlig opfølgning, hvor medarbejderne undervises og høres i sikkerhedsinstrukser. HereTask ansætter og giver kun medarbejdere afgang til personfølsomme oplysninger efter en prøvetid på 3 måneder.

Uddannelse af medarbejdere i informationssikkerhed

Det er udelukkende ledelsen, der ansætter personale. Medarbejderne informeres og høres årligt omkring informationssikkerhedskravende.

Tavshedspligt

Der fastsat nedskrevne regler for tavshedspligt, såvel under som efter ansættelsen.

Brud på informationssikkerheden

Ledelsen skal orienteres, såfremt en medarbejder opdager eller har mistanke om et sikkerhedsbrud. Medarbejderne er orienteret om, at brud på sikkerheden kan have konsekvens for ansættelsesforholdet og er orienteret om, at lovovertrædelser meldes til politiet. Medarbejderne er underlagt tavshedspligt under og efter ansættelse.

Retningslinjer for håndtering af fortrolige og personfølsomme information

Alt kommunikation i IT-systemerne vedr. personfølsomme oplysninger foregår ved SSL 256-bit sikkerhedskryptering. Der logges på med unikt brugernavn og afgangskode. IT-systemerne logger selv ud efter 5 minutters inaktivitet. Alle PC’er har skærmlås efter 5 minutter og medarbejderne låser ligeledes skærmen når de forlader deres PC. Personfølsomme oplysninger sendes kun i IT-systemerne via SSL 256-bit sikkerhedskryptering. Udskrevet papirmateriale makuleres straks efter brug, således at der ikke er opbevaring af papirmateriale.

Adgangsstyring

Adgangen til IT-systemerne er tildelt administratorer hos den dataansvarlige, som ligeledes definere brugeradgang og rettigheder.

Egenkontrol af adgang

Der foretages egenkontrol af adgange løbende og samlet årligt, hvor ejerkredsen gennemgår medarbejderes adgange og rettigheder således at det sikres disse er korrekte.

Adgang til kundens data

HereTask har adgang til de indtastede data i IT-systemerne via databaseadgang. Datatilgangen mellem kunden og IT-systemerne er krypteret. Dataadgangen for leverandøren til IT-systemerne er begrænset til det nødvendige i en given situation.

Log Ind sikkerhed

Kunden tildeles et unikt brugernavn og adgangskode ved opstart. Adgangskoden kan ændres af den enkelte personale og brugernavnet kan ændres af kundens administrator. Leverandøren sørger for at der indtastes minimum 8 cifret adgangskode, bestående af store og små bogstaver, samt tal. Det er dog op til dataansvarlige at definere retningslinjer for deres ansatte.

Adgang til kildekode

Medarbejdere har fuld adgang til kildekoden.

Kunden adgang til data

Unikt brugernavn og adgangskode. IT-systemerne tilgås via web browser.

Fysisk sikring

Fysisk sikkerhed varetages af underleverandøren ScanNet A/S i henhold til dennes normale sikkerhedsstandarder.

Fysisk adgangskontrol

ScanNet A/S har fysisk adgangskontrol i form af personligt nøglekort. HereTask har ingen fysisk adgang til ScanNet A/S serveren.

Risikovurdering af den fysiske sikkerhed hos leverandør

Varetages af underleverandøren ScanNet A/S.

Udstyr

Udstyr er fordelt på hjemmearbejdspladser. Alle HereTask medarbejdere er orienteret om sikring i forhold til at udstyr skal være aflåst når hjemmet forlades. Personfølsomme data på ScanNet A/S serveren er sikret via login med unikt brugernavn og adgangskode.

Driftssikkerhed og backup

Backup foretages af underleverandøren ScanNet A/S. Backup placeres i datacenter i Danmark. HereTask tester backup hver måned.

Logning og overvågning

Alle søgnings variabler bliver logget.

Adgangslog

Alle login sessions bliver logget. Løsningen ved ScanNet A/S er opsat til at al adgang i cloud løsningen adgangslogges.

Adgang til log data

HereTask har mulighed for at levere CSV filer med log data.

Kommunikationssikkerhed

Linux platform med SSH kommunikation.

Underrette dataansvarlige i tilfælde af sikkerhedsbrud

Ledelsen vil med det samme informere alle vores kunder inden for 24 timer, hvis der skulle opstå et sikkerhedsbrud, hvor der er en sikkerhedsrisiko for kundens data.

Beredskab

Der er aftalt arbejdsgange ved utilsigtede hændelser, som revideres årligt.

Tests af beredskab og beredskabsplaner

Revideres årligt.

Gennemgang af informationssikkerhed

Der foretages en årlig egen revision.

Dokumenterer egenkontrol af procedurer

Referat ved årlig generalforsamling.

Underleverandører og dataansvarliges sikkerhedskrav

HereTask laver en løbende vurdering af alle vores underleverandører og sikkerhedskravene. Underleverandører er underlagt egne sikkerhedskrav, der kan afvige fra det beskrevne i dette dokument.